看我骚操作‘破解’某查查app的sign以及某眼查的Authorization!

最新推荐文章于 2024-05-24 15:20:30 发布
最新推荐文章于 2024-05-24 15:20:30 发布
阅读量3.5k 收藏 17
点赞数 2
分类专栏: 爬虫 Python 日长记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34067821/article/details/102985631
版权

看我骚操作‘破解’某查查app的sign以及某眼查的Authorization!!!

这里要用到的工具/开发语言:

1.Python(2或者3)
2.App爬虫神器mitmproxy
3.按键精灵
4.还有之前的强制抓包工具postern

之前经过逆向以及抓包等分析,发现这两个app的sign以及author等最为重要,而且还绑定了时间戳,这就导致我们如果不分析其加密算法就比较抓数据,但是最后通过测试发现如下:

  1. 企查查的sign和时间戳有关
  2. sign和用于任何一个url
  3. sign短时间不会失效
  4. 天眼查的Authorization也和时间戳有关
  5. Authorization也是短时间内不会失效
  6. Authorization也可以用于任何url
通过以上发现,就其实很简单的把这些用起来。。。。如何做??看下面的骚操作
手机上的操作
设备:华为荣耀6x 
安卓版本:6.0
是否root: root
是否有xposed:有

安装企查查最新版和天眼查最新版、按键精灵最新版,最后是postern这个软件,postern这个需要自己配置,最后用到的时候再说。

电脑上的操作(我这里是mac,win也一样的操作,这里都会安装python环境以及都会写python)
1. 介绍mitmproxy
以下引用自Hugo

顾名思义,mitmproxy 就是用于 MITM 的 proxy,MITM 即中间人攻击(Man-in-the-middle attack)。用于中间人攻击的代理首先会向正常的代理一样转发请求,保障服务端与客户端的通信,其次,会适时的查、记录其截获的数据,或篡改数据,引发服务端或客户端特定的行为。

不同于 fiddler 或 wireshark 等抓包工具&#x

最低0.47元/天 解锁文章
哈里哈气
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
安卓抓包——ssl_logger-某抓包
含笑
03-28 1266
ssl_logger-某抓包 APP版本:11.4.0_165 ubuntu18 和 win10 Wireshark ssl_logger 使用 先用 fiddler抓包,配置代理后是抓不到的,APP显示没有网站 在用JustMePlus hook网络请求库代码 测试后也是没有用 最后用ssl_logger抓包做分析使用 1. 先找到 APP包名 可以到 adb常用密令看 adb shell pm list package | grep tian ...
的逆向
qq_34949842的博客
08-27 1416
​一: 准备 APP: 某 版本: 11.4.0 工具: xposed, FDex2, JustTrustMe, Fiddler, jadx 二. 抓包 1. 打开Fiddler,打开天抓包(开启JustTrustMe能抓到包) 我们抓取工商信息这块,看Fiddler上面的body这块,因为传输数据,所以包肯定是比较大的,点开看右边的json格式能看到和工商信息里面的相符的内容,说明这就是我们需要抓取的数据包了. 看抓到包的请求头,找出我们需要自动生成的参数: tyc-hi, Aut
查查app sign算法初步探索
成小新的博客
11-24 1465
查查app sign算法破解初步探索 之前有说过企查查sign的解密,但这次是企查查appsign算法破解,目前是初步进程。 目前我们需要做壳,具体方法可以百度搜索,企查查用的360加固,很简单,我去脱壳一下。 脱完壳,我们需要逆向dex,如何逆向呢???我们可以借助jeb工具,具体用法百度一下,我这里用的是手机端反逆向。 逆向之后我们现在需要把class文件反编译为java文件,用到工...
unidbg入门笔记
q2919761440的博客
05-24 1068
unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同类型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。
、企查查APP的Authorized值和sign破解思路记载
ggl1438的博客
03-28 3540
@TOC天、企查查APP的Authorized值和sign破解思路记载 天APP已知条件 1.爱加密壳子,sm4加密 2.检测了模拟器 3.脱壳拖出来的代码只有类名 4.把so拿出来也不能用,大概so里面进行过什么判断 5.抓不到包了 操作: 1.app登陆后拿到的值,可以放在cookie里面,这样可以进行web抓取,就没有字体反爬的困扰了。 2.authorized这个值有效时长在5...
链-家-appAuthorization验签破解
weixin_39537721的博客
01-15 2787
本来一直不太习惯写东西,这次觉得对我这新手比较有意义,特意发表一下. 此app请求里面header头有一个Authorization字段是加密生成的, 网上有不少人使用其他方法破解过这个,我是使用ida调试出来的, 只说下过程,观众们遇到问题自行百度 1.app反编:           无加固,没有难度 2.找源码   过程就不多说了,有很多大神们都有,这里放一个连接https://...
springboot+spring-security+ajax+前后端分离解决Authorization请求头跨域问题
weixin_43834425的博客
08-31 2126
security+ajax+前后端分离解决Authorization请求头跨域问题 背景 后端采用 springboot+security+oauth2开发 前台采用存静态页面的形式开发。() 以此做到前后端分离。采用token的形式做无状态登录。为以后业务扩张的分布式扩展做准备。 问题 前后端分离第一个要解决的是跨域问题。为此我再后台起了一个bean import org.springfra...
美篇appAuthorization算法和发送例子
最新发布
06-25
美篇appAuthorization算法和发送例子
微信小程序获取循环元素id以及wx.login登录操作
08-29
微信小程序获取循环元素id以及wx.login登录操作 微信小程序获取循环元素id是指在小程序中通过wx:for指令循环渲染元素,并获取每个元素的id,以便在后续操作中使用。同时,wx.login登录操作是小程序中用户登录的主要...
example-payment-authorization-app
05-08
要在您的商店中实现此功能,您需要开发自己的Payment应用,但是请放心! 该存储库为此提供了必要的结构,下面的逐步指南将指导您。 一步步 :information: 请记住,在这一步中,您将使用开发平台。...
FluorineFx.NET的认证(Authentication )与授权(Authorization)Flex与.NET互操作
10-29
FluorineFx.NET的认证(Authentication )与授权(Authorization)和ASP.NET中的大同小异,核实用户的身份既为认证,授权则是确定一个用户是否有某种执行权限
sql 操作 小例题
10-21
sql 操作 小例题 帮你理解sql
获取authorization_python获取知乎问题答案并转换为MarkDown文件
weixin_39630880的博客
11-29 419
前期准备python2.7html2textmarkdownpad(这里随意,只要可以支持md就行)会抓包最重要的是你要有代理,因为知乎开始封IP了原理原理说起来很简单:获取请求到的内容的BODY部分,然后重新构建一个HTML文件,接着利用html2text这个模块将其转换为markdown文件,最后对图片及标题按照markdown的格式做一些处理就好了。目前应用的场景主要是在知乎。代码实现获取知...
登录sign算法研究
成小新的博客
06-05 1289
sign 算法破解 最近真的在sign算法破解上一去不复返 前几天看过了企查查sign破解 今天再看看天sign算法破解,说的好(zhuang)点(bi)就是破解,不好的就是这是很简单的东西啊,只需要找key就可以了,话不多说,看破解之路。 这个不是天appsignapp没用到sign,用的Authorization,所以啊,要去研究Authorization,下次有时间继续...
查查 sign和token研究
成小新的博客
11-24 4341
查查app sign算法破解 从上次抓取企查查app数据之后,一直有一个问题,就是对其要进行脱壳、逆向、然后才能在源码中找sign的算法。 昨天一个偶然机会,得到企查查sign算法,并未进行脱壳和逆向,是使用js的方式找到相关算法,虽然是js找得到的,但是经过我测试,可以用在app上边,都是相同的接口 关于token的破解:其实企查查的token是在服务端进行计算的,但是经过分析,发现它有一...
根据HMAC-sha256加密的Authorization生成
a1277757159的博客
03-15 281
本内容只是记录自己的学习过程,没有其他的东西。 通过分析,真正的上传地址需要向v1?..这个理解发送请求后拿到。 打开v1的包看参数。 最主要的是authorization这个参数,其他的都可以在另外一个请求中拿到。找到包后直接进入到js发包的地方,打上断点开始跟栈 找到js加密的地方,开始扣代码 虽然没有放到本地进行测试,代码也没有压缩,当后续操作应该不会遇到很大的问题。直接输入1次#,并按下space后,将生成1级标题。 输入2次#,并按下space后,将生成2级标题。 以此类推,我们支持6级标题
[转]【HTTP】Fiddler(二) - 使用Fiddler做抓包分析
weixin_34006468的博客
01-21 185
本文转自:http://blog.csdn.net/ohmygirl/article/details/17849983 上文( http://blog.csdn.net/ohmygirl/article/details/17846199 )中已经介绍了Fiddler的原理和软件界面。本文主要针对Fiddler的抓包处理。 Fiddler抓取HTTP请求。 抓包是Fiddler的最基本的应用,...
java 获取Authorization信息
weixin_45873444的博客
01-18 4729
java 获取Authorization信息
【Python工具】Python版本的天,是不是就很nice啦 | 附带源码
Gtieguo的博客
05-08 1869
相关文件 关注小编,私信小编领取哟! 当然别忘了一件三连哟~~ 公众号:Python日志 可以关注小编公众号,会不定时的发布一下Python小技巧,还有很多资源可以免费领取哟!! 源码领取:加Python学习交流群:773162165 可以领取哟 开发工具 Python版本:3.7.8 相关模块: requests模块; pyqt5模块; 以及一些python自带的模块。 环境搭建 安装Python并添加到环境变量,pip安装需要的相关模块即可。 原理简介 好像没啥原理,就是请求接口之后把返回的数据提取出来
nacos authorization failed!
09-17
"Nacos授权失败"是指在使用Nacos时遇到了授权...总之,当遇到"Nacos授权失败"的情况时,需要检凭证是否正确、授权权限是否足够、网络连接是否正常以及Nacos服务是否异常等方面的问题,并针对问题进行逐个排和解决。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值